當某個賬號登入Linux系統後,其登入資訊會被記錄在幾個關鍵的日誌檔案中,這些記錄有助於系統管理員監控和審計系統活動。以下是主要涉及的幾個日誌檔案及其用途:
-
/var/log/secure 或 /var/log/auth.log:
- 這個日誌檔案主要用於記錄與系統認證相關的活動,包括成功的登入、失敗的登入嘗試、密碼更改以及其他與安全相關的事件。當使用者透過SSH、sudo命令或其他認證機制進行登入時,相關資訊會在這裡被記錄。
-
/var/log/wtmp:
- 此檔案記錄了所有使用者的登入和登出事件。它是一個二進位制檔案,不能直接用文字編輯器檢視。通常使用
last
或lastlog
命令來檢視這些記錄。last
命令可以顯示最近的登入和登出記錄,包括使用者名稱、終端型別、登入時間和IP地址(如果適用)。
- 此檔案記錄了所有使用者的登入和登出事件。它是一個二進位制檔案,不能直接用文字編輯器檢視。通常使用
-
/var/log/btmp:
- 類似於
wtmp
,但專門用於記錄失敗的登入嘗試。也是二進位制格式,可以使用lastb
命令來檢視失敗的登入記錄。
- 類似於
-
/var/log/messages 或 /var/log/syslog(取決於Linux發行版):
- 這些是系統的主要日誌檔案,記錄了廣泛的系統事件,包括但不限於登入提示資訊、系統啟動過程中的訊息以及一些警告和錯誤。雖然不是專門記錄登入事件的,但在某些情況下,可能會有與使用者登入相關的訊息被記錄在此。
-
/var/log/utmp(實時登入資訊):
- 這個檔案記錄了當前登入到系統的所有使用者的資訊,包括終端型別、登入時間和退出狀態。
who
和w
命令就是從這個檔案中讀取資訊來顯示當前登入使用者的狀態。它是二進位制格式,不直接用於檢視歷史記錄。
- 這個檔案記錄了當前登入到系統的所有使用者的資訊,包括終端型別、登入時間和退出狀態。
綜上所述,對於登入活動,/var/log/secure
或/var/log/auth.log
記錄了詳細的認證資訊,/var/log/wtmp
和/var/log/btmp
分別記錄了成功和失敗的登入歷史,而/var/log/messages
或syslog
則可能包含更廣泛的相關係統訊息。透過這些日誌檔案,系統管理員可以全面瞭解使用者的登入活動情況。